中級網(wǎng)絡(luò)工程師下午試題

中級網(wǎng)絡(luò)工程師下午試題-23（總分69，做題時間90分鐘）試題一[說明]虛擬局域網(wǎng)（VirtualLAN）是與地理位置無關(guān)的局域網(wǎng)的一個廣播域，由一個工作站發(fā)送的廣播信息幀只能發(fā)送到具有相同虛擬網(wǎng)號的其他站點，可以形象地認(rèn)為，VLAN是在物理局域網(wǎng)中劃分出的獨立通訊區(qū)域。在以交換機為核心的交換式局域網(wǎng)絡(luò)中，VLAN技術(shù)應(yīng)用廣泛，其優(yōu)勢在了二控制了網(wǎng)絡(luò)上的廣播風(fēng)暴，增加了網(wǎng)絡(luò)的安全性，利于采用集中化的管理控制。其中，基于端口的VLAN劃分方式較為常見，通過將網(wǎng)絡(luò)設(shè)備的端口劃歸不同的VLAN實現(xiàn)廣播幀的隔離。SSS_FILL1.現(xiàn)有虛擬局域網(wǎng)絡(luò)的四種劃分方式有、、現(xiàn)有虛擬局域網(wǎng)絡(luò)的四種劃分方式有、、分值：4基于端口劃分基于MAC地址劃分基于第三層地址劃基于策略劃分SSSFILL2.在基于端口的VLAN劃分中，交換機上的每一個端口允許以三種模式劃入VLAN中，并簡述它們的含義。分值：4accessmultitrunkaccess模式，端口僅能屬于一個VLAN，只能接收沒有封裝的幀。multi模式，端口可以同時屬于多個VLAN，只能接收沒有封裝的幀。trunk模式，該端口可以接收包含所屬VLAN信息的封裝幀，允許不同設(shè)備的相同VLAN通過trunk互連。SSS_FILL3.以下為Cisco以太網(wǎng)交換機Catalyst2924（WS-C2924XL-A，擁有24個10/100M自適應(yīng)端口）的VLAN劃分命令，請解釋[1]?[3]處的標(biāo)有下劃線部分配置命令的含義。（“//”后為注釋內(nèi)容）。switch〉en//進入特權(quán)執(zhí)行態(tài)switch#configterm//進入通用配置狀態(tài)switch（config）#interfacevlan1//配置vlan1（ID為1的Vlan）[1]swith（condig-if）#ipaddress3

swith(condig-if)#managementswitch(config-if)#exit//退出對vlan的配置狀態(tài)switch(config)#interfacefa0/1//配置第一模塊的第2個端口[2]switch_(config-if)_#switchport_mode_access_switch_(config-if)_#switchport_acess_vlanswitch(config-if)#exit//退出對端口的配置狀態(tài)switch(config)#interfacefa1/2〃配置第一模塊的第3個端口［3］switch(config-if)#switchportmodemultiswitch(config-if)#switchportmultivlanadd2,3switch(config-if)#exit//退出對端口的配置狀態(tài)分值：4配置該設(shè)備在ManagementVLAN中的IP地址設(shè)置該設(shè)備VLAN的ID為1的VLAN為Management設(shè)置2號端口的VLAN模式為access將該端口加入2號VLAN設(shè)置3號端口的VLAN模式為multi將該端口同時加入2、3號VLAN［解析］配置命令的含義如下：［1］ 設(shè)置該設(shè)備VLAN的ID為1的VLAN為management，配置該設(shè)備在ManagementVLAN中的IP地址。［2］ 設(shè)置2號端口的VLAN模式為access，并將該端口加入2號VLAN。［3］ 設(shè)置3號端口的VLAN模式為multi，并將該端口同時加入2、3號VLAN。試題二［說明］某公司有一個局域網(wǎng)，在ISP申請了Internet接入，接入方式是以太網(wǎng)，ISP分配給了一個固定的IP地址為3、子網(wǎng)掩碼為52、默認(rèn)網(wǎng)關(guān)為4、DNS為8。該公司有兩臺服務(wù)器，一臺PC服務(wù)器S1作為代理服務(wù)器實現(xiàn)整個公司上網(wǎng)，代理服務(wù)器的操作系統(tǒng)是Linux，代理軟件是squid；另一臺PC服務(wù)器S2安裝了DHCP服務(wù)，為內(nèi)部客戶機動態(tài)分配IP地址，拓?fù)鋱D如下圖所示。/下面分別是服務(wù)器S1的代理服務(wù)配置文件/etc/squid/squid.conf和服務(wù)器S2的DHCP服務(wù)配置文件/etc/dhcpd.conf的主要內(nèi)容。S1的/etc/squid/squid.conf文件的內(nèi)容節(jié)選：http_port8080cache_mem194MBcache_dir/home/squid/cache40002433cache_access_log/usr/local/squid/logs/access.log

cache_log/usr/local/squid/logs/cache.logdns_nameserversacldenydomaindstdomain.twaclallscr/http_accessdenydenydomainhttp_accessallowallcache_mgr**S2服務(wù)器/etc/dhcpd.conf文件的主要內(nèi)容：subnetnetmask（range;default-lease-time86400;max-lease-time604800;optionsubnet-mask;optionrouters192.168.1.1;optionbroadcast-address55;optiondomain-name-servers8;}SSS_FILL1.圖中（1）處該填寫。分值：2.5**［解析］該大題主要考查Linux下DHCP服務(wù)器和代理服務(wù)器的配置。第一空是代理服務(wù)器的內(nèi)網(wǎng)的IP地址，此地址是內(nèi)網(wǎng)各客戶機的默認(rèn)網(wǎng)關(guān)地址，由DHCP服務(wù)器配置文件/etc/dhcpd.con中optionrouters語句可知，該地址是。SSS_FILL2.S1的/etc/squid/squid.conf文件的橫線處該填寫。分值：2.5**［解析］代理服務(wù)器配置文件/etc/squid/squid.conf中dns_nameservers語句的作用是指定DNS服務(wù)器的IP地址，這一地址在題干中已經(jīng)指出，為8。SSS_FILL3.如果該局域網(wǎng)中沒有其他服務(wù)器或客戶機需要固定IP地址，則S2的/etc/dhcpd.conf文件中橫線處該填寫。分值：2.5**54［解析］DHCP服務(wù)器配置文件/etc/dhcpd.conf中rang語句的作用是指定可動態(tài)分配的IP地址的范圍，因此應(yīng)填寫54。SSS_FILL

4.文件/etc/squid/squid.cont中曲線部分的作用是分值：2.5禁止內(nèi)部代理用戶訪問域.tw內(nèi)的主機［解析］acl語句的作用是定義一條訪問控制列表，httpaccess語句的作用是根據(jù)訪問控制列表允許或禁止某一類用戶訪問。因此，陰影部分的作用是禁止內(nèi)部代理用戶訪問域.tw內(nèi)的主機。SSS_FILL5.代理服務(wù)器緩沖區(qū)放在文件下，大小是。分值：2.5/home/squid/cache4000M［解析］代理服務(wù)器緩沖區(qū)放的位置和大小是由/etc/squid/squid.conf文件中cache_dir選項來指定的，同時該參數(shù)還可指定目錄結(jié)構(gòu)，定義方法是：cachedirV目錄＞＜大?。綱一級目錄數(shù)＞V二級目錄數(shù)〉“目錄”指明了該交換空間的頂級目錄，“大小”定義了可用的空間總量，其單位是MB。因此，在本題中，代理服務(wù)器緩沖區(qū)放在/home/squid/cache，大小為4000MB。SSS_FILL6.在啟用代理服務(wù)器前，還必須為代理服務(wù)器緩沖區(qū)設(shè)置權(quán)限和初始化，其命令分別是、。分值：2.5#chmod0777/home/squid/cache#squid-z［解析］代理服務(wù)器Squid的Cache在使用前，必須要將其權(quán)限設(shè)置所有用戶都讀寫，并進行初始化。其命令如下：#chmod0777/home/squid/cache#squid-z試題三［說明］虛擬專用網(wǎng)是虛擬私有網(wǎng)絡(luò)(VirtualPrivateNetwork，VPN)的簡稱，它是一種利用公共網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)。對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。主要有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，如PPTP、L2TP；另一種是三層隧道協(xié)議，GRE、IPSec。另外，還有第四層隧道協(xié)議，如SSLVPN。下圖所示的是某公司的總部與其分支機構(gòu)連接的示意圖。SSS_FILL針對不同的用戶要求，VPN有三種解決方案：、和。根據(jù)這三種解決方案的特點，該方案應(yīng)該采用。分值：3.75遠(yuǎn)程訪問虛擬網(wǎng)(accessVPN)企業(yè)內(nèi)部虛擬網(wǎng)(intranetVPN)企業(yè)擴展虛擬網(wǎng)(extranetVPN)［解析］accessVPN是通過公用網(wǎng)絡(luò)與企業(yè)的intranet和extranet建立私有的網(wǎng)絡(luò)連接，為出差流動員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室提供VPN服務(wù)的，通常使用二層網(wǎng)絡(luò)隧道技術(shù)。intranetVPN是通過公用網(wǎng)絡(luò)進行企業(yè)各個分布點互連，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。結(jié)合服務(wù)商提供的QoS機制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。extranetVPN是通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。由此可見，本題中使用的是intranetVPN。SSS_FILL2.如果按照圖中所示的網(wǎng)絡(luò)結(jié)構(gòu)配置IPSecVPN，它有隧道和傳輸兩種工作方式。若IPSecH作在隧道模式，采用安全機制選擇的是AH。在下列三個選項中選擇正確選項填寫到下表中相應(yīng)空缺處。(a)AH頭(b)封裝后的IP包頭(c)封裝前的IP頭———TCP/13DP報頭應(yīng)用數(shù)據(jù)分值：3.75bac［解析］傳輸模式下，VPN服務(wù)器只對IP數(shù)據(jù)報中TCP/UDP報文段部分進行加密和驗證，而IP報頭仍采用原始明文IP報頭，只是做適當(dāng)?shù)男薷?；但在隧道模式下，VPN服務(wù)器會對整個IP數(shù)據(jù)報進行加密和驗證，即將原IP數(shù)據(jù)報看做一個整體進行加密和驗證，為了能在Internet正確地傳送，VPN服務(wù)器還需要重新生成IP報頭。由此可見，第一空處，應(yīng)是重新生成IP報頭，第二空處是用于驗證的AH報頭，第三空處是原IP數(shù)據(jù)報的報頭。SSS_FILL3.VPN服務(wù)器既可以接收來自VPN傳輸?shù)臄?shù)據(jù)，也可以接收來自Internet的數(shù)據(jù)。對于來自VPN傳輸?shù)臄?shù)據(jù)，來自Internet的數(shù)據(jù)。VPN服務(wù)器是通過來區(qū)分這兩種IP數(shù)據(jù)包的。分值：3.75進行解密和驗證，并重新封裝直接轉(zhuǎn)發(fā)IP報頭中的IP協(xié)議號［解析］VPN服務(wù)器既可以接到來處VPN傳輸來數(shù)據(jù)，也可接收來自Internet的數(shù)據(jù)。對于來自VPN傳輸來數(shù)據(jù)需要進行解密和驗證，

并重新封裝，而來自Internet的數(shù)據(jù)則直接轉(zhuǎn)發(fā)。對于IPSec數(shù)據(jù)包，VPN服務(wù)器是通過IP報頭中的IP協(xié)議號來標(biāo)識的。若使用AH協(xié)議，則IP協(xié)議號為51，若使用ESP協(xié)議，則IP協(xié)議號為50。SSS_FILL4.如果按照圖中所示的網(wǎng)絡(luò)結(jié)構(gòu)配置L2TP，則數(shù)據(jù)是通過二層協(xié)議來封裝，身份認(rèn)證方法是。分值：3.75PPPPPPCHAP［解析］二層隧道協(xié)議主要有三種：PPTP（PointtoPointTunnelingProtocol，點對點隧道協(xié)議）、L2F（Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer2TunnelingProtocol，二層隧道協(xié)議）。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，它是通過PPP協(xié)議來封裝VPN數(shù)據(jù)的。與PPP類似，L2TP可以對隧道端點進行驗證。不同的是，PPP可以選擇采用PAP方式以明文傳輸用戶名及密碼，而L2TP規(guī)定必須使用類似PPPCHAP的驗證方式。試題四［說明］在圖1所示的網(wǎng)絡(luò)中，運行的路由協(xié)議是OSPF，有0、1和2三個區(qū)域，其中Router1的S0端口、Router2的S0端口屬于區(qū)域0，Router1的E0端口、Router3的E0端口屬于區(qū)域1，Router2的E0端口、Router4的E0端口屬于區(qū)域2。圖1SSS_FILL1.根據(jù)路由選擇算法，動態(tài)路由分為、、。OSPF屬于分值：3距離矢量路由協(xié)議鏈路狀態(tài)路由協(xié)議平衡型（或稱混合型）路由協(xié)議鏈路狀態(tài)路由協(xié)議［解析］本大題主要考查動態(tài)路由協(xié)議的分類及OSPF路由協(xié)議的配置。根據(jù)路由選擇算法，動態(tài)路由分為距離矢量路由協(xié)議、鏈路狀態(tài)路由協(xié)議和平衡型（或稱混合型）路由協(xié)議。其中距離矢量路由協(xié)議采用距離矢量路由選擇算法，它確定到網(wǎng)絡(luò)中任一鏈路的方向（向量）和距離，如RIP、IGRP。鏈路狀態(tài)路由協(xié)議先創(chuàng)建整個網(wǎng)絡(luò)的準(zhǔn)確拓?fù)?，再計算到其他路由器的最短路徑，如OSPF、IS-IS等。平衡型（或稱混合型）路由協(xié)議是距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議結(jié)合，如EIGP。SSS_FILL

2.下面是路由器Router1的配置命令列表，在空白處填寫合適的命令/參數(shù)，實現(xiàn)Router1的正確配置。RouLer1>enRouter1#conftermRouterl(config)#interfacee0Router1(config-if)#ipaddress.2992Router1(config-if)#interfaces0Router1(config-if)#ipaddress52Router1 (config-if)#endRouter1 (config)#routerRouter1 (config-router)#retworkatea 0Router1 (config-router)#networkarea 1Router1(config-router)#exitRouter1#copyrunstart分值：3ospf100(注：100為OSPF進程號，可為1?65.535之間的任意整數(shù))283［解析］第五空所在的命令的作用是啟用OSPF進程，因此該處應(yīng)填寫“OSPFV進程IDV”；第六空和第七空所在的命令的作用是指定與Router1路由器相連的網(wǎng)絡(luò)。該路由器相連兩個網(wǎng)絡(luò)，一個是/30,另一個是28/26。但需要注意的是，network命令中使用的不是子網(wǎng)掩碼，而是wildcard-mask。它子網(wǎng)掩碼的反碼，可以使用55減去子網(wǎng)掩碼求出。因此第六空處應(yīng)填寫“”；第七空處應(yīng)填寫“283”。SSS_FILL3.下面是路由器Router2的配置命令列表，在空白處填寫合適的命令/參數(shù)，實現(xiàn)Router2的正確配置。Router2>enRouter2#conftermRouter2(config)#interfacee0Router2(config-if)#ipaddress592Router2(config-if)#interfaces0Router2(config-if)#ipaddress52Router2(config-if)#endRouter2(config)#routerRouter2(config-router)#network area0Router2(config-router)#network area2Router2(config-router)#exitRouter2#copyrunstart分值：3

ospf200(注：200為OSPF進程號，可為1?65535之間的任意整數(shù))43SSSFILL4.下面是路由器Router3的配置命令列表，在空白處填寫合適的命令/參數(shù)，實現(xiàn)Router3的正確配置。Router3>enRouter3#conftermRouter3Router3Router3Router3Router3Router3Router3(config)#routerospf300(config-router)#network分值：3**92283［解析］第^一空和第十三空的作用是配置端口的IP地

址及子網(wǎng)掩碼，IP地址在圖2中已經(jīng)給出，子網(wǎng)掩碼都是26位，即

92。圖2試題五圖2試題五［說明］某公司下設(shè)三個部門，為了便于管理，每個部門組成一個VLAN，公司網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。SSSFILL1.閱讀交換機Switch1的部分配置信息，將橫線處空缺的內(nèi)容補全。Switch1>enSwitch1#vlandatabase(設(shè)置VLAN配置子模式)Switch1(vlan)#(設(shè)置本交換機為Server模式)Switch1(vlan)#vtpdomainABC(設(shè)置域名為ABC)Switch1(vlan)#(啟動修剪功能)Switch1(vlan)#……(創(chuàng)建VLAN11?VLAN13，略)Switch1(vlan)#exit(退出VLAN配置模式)Switch1#configtSwitch1(config)#interfacef0/9Switchl(config-if)#switchportmodeaccessSwitchl(config-if)#switchport(將端口9配給vlan11)Switch1(config)#interfacef0/24Switch1(confiq-if)#switchportmodetrunk

Switchl(config-if)#switchport(設(shè)置封裝協(xié)議為isl)Switchl(config-if)#exitSwitchl#copyrunstart分值：5vtpservervtppruningaccessvlan11trunkencapsulationis1［解析］該大題主要考查通過獨臂路由器實現(xiàn)VLAN的配置。主要是對VTP的配置和端口工作模式的設(shè)置。配置交換機的VTP模為Server的命令是"vtpserver”；啟動VTP修剪功能的命令是"vtppruning”；將端口分配給某個vlan的命令是“switchportaccessvlanVVLANID＞或VVLAN名稱＞";設(shè)置trunk中數(shù)據(jù)幀的封裝形式的命令是“switchporttrunkencapsV封裝協(xié)議＞”。SSS_FILL2.閱讀路由器Router的部分配置信息，解釋橫線處的命令。Router(config)#interfacefastEthernet1/0.1Router(config-subif)#encapsulationisl11Router(config-subif)#ipaddress40Router(config-subif)#ex